本文介绍如何进行授权访问。
使用 STS 进行临时授权
OSS 可以通过阿里云 STS (Security Token Service) 进行临时授权访问。阿里云 STS 是为云计算用户提供临时访问令牌的 Web 服务。通过 STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证 STS, 详情请参见STS介绍。
STS 的优势如下:
- 您无需透露您的长期密钥(AccessKey)给第三方应用,只需生成一个访问令牌并将令牌交给第三方应用。您可以自定义这个令牌的访问权限及有效期限。
- 您无需关心权限撤销问题,访问令牌过期后自动失效。
使用 STS 访问 OSS 的流程请参见开发指南中的 STS 临时授权访问 OSS。
在使用 STS 访问 OSS 时,需要设置stsToken参数,如下面的例子所示:
let OSS = require('ali-oss');
let STS = OSS.STS;
let sts = new STS({
accessKeyId: '<子账号的AccessKeyId>',
accessKeySecret: '<子账号的AccessKeySecret>'
});
async function assumeRole () {
try {
let token = await sts.assumeRole(
'<role-arn>', '<policy>', '<expiration>', '<session-name>');
let client = new OSS({
region: '<region>',
accessKeyId: token.credentials.AccessKeyId,
accessKeySecret: token.credentials.AccessKeySecret,
stsToken: token.credentials.SecurityToken,
bucket: '<bucket-name>'
});
} catch (e) {
console.log(e);
}
}
assumeRole();向 STS 申请临时 token 时,还可以指定自定义的 STS Policy。这样申请的临时权限是所扮演角色的权限与Policy指定的权限的交集。下面的例子将通过指定 STS Policy 申请对my-bucket的只读权限,并指定临时 token 的过期时间为 15 分钟。
let OSS = require('ali-oss');
let STS = OSS.STS;
let sts = new STS({
accessKeyId: '<子账号的AccessKeyId>',
accessKeySecret: '<子账号的AccessKeySecret>'
});
let policy = {
"Statement": [
{
"Action": [
"oss:Get*"
],
"Effect": "Allow",
"Resource": ["acs:oss:*:*:my-bucket/*"]
}
],
"Version": "1"
};
async function assumeRole () {
try {
let token = await sts.assumeRole(
'<role-arn>', policy, 15 * 60, '<session-name>');
let client = new OSS({
region: '<region>',
accessKeyId: token.credentials.AccessKeyId,
accessKeySecret: token.credentials.AccessKeySecret,
stsToken: token.credentials.SecurityToken,
bucket: '<bucket-name>'
});
} catch (e) {
console.log(e);
}
}
assumeRole();使用签名 URL 进行临时授权
- 生成签名 URL
您可以将生成的签名 URL 提供给访客进行临时访问。生成签名 URL 时,您可以指定 URL 的过期时间来限制访客的访问时长。
- 生成对象签名 URL
说明 name {String} 表示存放在 OSS 的 Object 名称,[expires] {Number} 表示 URL 过期时间,默认是 1800 秒。其他参数相关说明,请参考Github。以下代码用于生成对象签名 URL:
let OSS = require('ali-oss'); let store = new OSS({ bucket: '<your bucket>', region: '<your region>', accessKeyId: '<your accessKeyId>', accessKeySecret: '<your accessKeySecret>' }) const url = store.signatureUrl('ossdemo.txt'); console.log(url); // -------------------------------------------------- const url = store.signatureUrl('ossdemo.txt', { expires: 3600, method: 'PUT' }); console.log(url); // put object with signatureUrl // ------------------------------------------------- const url = store.signatureUrl('ossdemo.txt', { expires: 3600, method: 'PUT', 'Content-Type': 'text/plain; charset=UTF-8', }); console.log(url); // -------------------------------------------------- const url = store.signatureUrl('ossdemo.txt', { expires: 3600, response: { 'content-type': 'text/custom', 'content-disposition': 'attachment' } }); console.log(url); // put operation - 带有图片处理的签名 URL
let OSS = require('ali-oss'); let store = new OSS({ bucket: '<your bucket>', region: '<your region>', accessKeyId: '<your accessKeyId>', accessKeySecret: '<your accessKeySecret>' }) const url = store.signatureUrl('ossdemo.png', { process: 'image/resize,w_200' }); console.log(url); // -------------------------------------------------- const url = store.signatureUrl('ossdemo.png', { expires: 3600, process: 'image/resize,w_200' }); console.log(url);
在文档使用中是否遇到以下问题
更多建议
匿名提交